![[서울=뉴시스] 추상철 기자 = 배경훈 부총리 겸 과학기술정보통신부 장관이 22일 오후 서울 종로구 정부서울청사에서 열린 '범부처 정보보호 종합대책' 합동브리핑에 참석하고 있다. 2025.10.22. /사진=추상철](https://thumb.mt.co.kr/cdn-cgi/image/f=avif/21/2025/10/2025102217302148215_1.jpg)
국민 대다수가 이용하는 공공·금융·통신 등 1600여개 IT(정보기술) 시스템에 대한 대대적 보안점검이 실시된다. 전체 상장사를 대상으로 정보보호 공시를 의무화하고 보안역량 수준을 등급화해 공개하는 제도도 내년 상반기에 도입된다.
22일 국가안보실, 과학기술정보통신부, 금융위원회, 개인정보보호위원회, 국가정보원, 행정안전부 등 관계부처 합동으로 내놓은 '범정부 정보보호 종합대책'은 올해 들어 행안부 공무원 업무시스템 '온나라' 등 정부·공공시스템뿐 아니라 SK텔레콤, KT, 롯데카드 등 통신·금융부문에서 대규모 정보유출 사고가 잇따른 데 대한 대책이다.
우선 국민 대다수가 이용하는 공공·통신·금융 등 1600여개 시스템에 대한 보안취약점 일제점검이 진행된다. 공공기관 기반시설 288개와 중앙·지방 행정기관 152개, 금융사 261개, 통신·플랫폼 등 ISMS(정보보호관리체계) 인증기업 949개 등이 포함된다. 이와 별도로 과기정통부는 CISO(최고정보보호책임자)를 지정·운영 중인 전국 3만여개 기업에 보안취약점 자체점검을 실시해 결과를 보고할 것을 통보했다.
특히 이동통신 3사에 대해서는 실제 해킹방식의 강도 높은 불시점검을 추진하고 주요 IT자산에 대한 식별·관리체계를 구축토록 했다. KT의 무단 소액결제 및 개인정보 유출사태를 초래한 펨토셀(소형기지국)은 안전성이 확보되지 않을 경우 즉시 폐기토록 할 예정이다. 미리 확인된 장비만 주요 네트워크에 접속할 수 있도록 하는 방안도 바로 추진된다.
해킹정황이 확인된 경우 기업의 신고가 없이도 정부가 신속히 현장조사에 착수할 수 있도록 하는 법안은 이미 국회에 발의돼 입법절차를 진행 중이다. 해킹 지연신고, 자료은폐, 개인·신용정보 반복유출 등 보안의무 위반정도가 클 경우 전체 매출의 3%까지 과징금을 상향할 수 있는 법적 근거를 마련하는 작업도 하고 있다.
정보보호 공시의무 기업은 내년 상반기부터 전체 상장사 2700여개사로 확대한다. 현재는 △ISP(인터넷서비스제공사) △IDC(인터넷데이터센터) △상급종합병원 △IaaS(서비스형 인프라) 등 기업과 △전년도 매출액 3000억원 이상 기업 또는 일평균 이용자 수 100만명 이상인 기업 등 666개사가 의무대상이다. 정부는 정보보호 공시결과를 토대로 보안역량 수준을 등급화해 이를 공개하는 제도도 도입한다.
1600여개 공공·통신·금융 등 시스템에 대한 조사결과는 연내 발표할 '국가사이버안보전략'에 반영된다. 보안 거버넌스 개선에 대한 내용도 포함된다. 현재 국가·공공분야의 침해사고에 대해서는 국정원이, 민간부문 사고에 대해서는 과기정통부가 각각 총괄하는 등 보안 관련 거버넌스(의사결정체계) 이원화도 문제로 지적됐다.
정부의 보안투자도 강화한다. 현재는 정부의 정보보호 투자를 정보화 예산의 15% 이상으로 권고하는 수준이다. 이를 내년 1분기 중 일정 수준 이상으로 끌어올리겠다는 것이다. 배경훈 부총리 겸 과기정통부 장관은 "정부도 해킹 이슈에서 자유롭지 않다는 것을 인정한다"며 "정부도 올해 대비 7.7% 늘어난 4012억원을 정보보호에 투자할 것"이라고 했다.